Konfiguracja cross-certyfikatu na serwerze IIS 7.5

Instrukcja użytkownika
Konfiguracja cross certyfikatu
Certum CA – Certum Trusted Network CA
Na serwerze IIS 7.5 (Windows Serwer 2008 R2)
Wersja 1.0
Szczecin dnia 28.08.2013
www.certum.pl
|
Spis treści
1.
Wstęp..................................................................................................................................... 3
2.
Instalacja certyfikatu na serwerze ......................................................................................... 4
2.1.
Instalacja cross - certyfikatu .................................................................................................. 4
2.2.
Wyłączenie certyfikatu Certum Trusted Network CA ............................................................ 7
2.3.
Konfiguracja serwera IIS ....................................................................................................... 9
2.4.
Sprawdzenie poprawności instalacji ...................................................................................... 9
Wszelkie informacje (materiały tekstowe, zdjęcia, grafiki) stanowią własność intelektualną i są chronione przepisami ustawy z
dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2006 r. Nr 90, poz. 631, ze zm.) oraz pozostałymi
przepisami dotyczącymi ochrony własności intelektualnej. Z zastrzeżeniem wyjątków przewidzianych przez powszechnie
obowiązujące przepisy, ich kopiowanie lub inne wykorzystywanie, w szczególności dla celów komercyjnych, a także
dystrybucja, modyfikacja oraz publikacja bez uprzedniej pisemnej zgody Unizeto Technologies S.A. jest zabronione.
Niektóre materiały zdjęciowe, graficzne są własnością podmiotów trzecich i chronione są prawami autorskimi należącymi do
tych podmiotów.
2|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.
1. Wstęp
Wszystkie certyfikaty SSL EV wydawane przez Unizeto Technologies S.A. są wydawane w nowej
ścieżce certyfikacji pod nowym rootem Certum Trusted Network CA. Taki stan rzeczy powoduje, że
niektóre starsze urządzenia i przeglądarki nie rozpoznają takiego certyfikatu jako zaufany. Problem
dotyczy między innymi urządzeń Android w wersji starszej niż 4.x.
Aby rozwiązać ten problem został wydany specjalny cross – certyfikat, który pozwala na złączenie
starej ścieżki certyfikacji z nową. Instalacje tego cross – certyfikatu na serwerze rozwiązuje ten
problem i pozwala na prawidłową obsługę certyfikatu jako zaufany.
W zależności od stosowanego serwera www, różne są procedury instalacji cross – certyfikatu.
Niniejszy dokument opisuje jak wykonać taki proces na serwerze IIS. Do stworzenia niniejszej
instrukcji wykorzystano IIS 7.5 na serwerze Windows Server 2008 R2, ale przedstawione tu kroki
powinny zadziałać z każdą wersją serwera IIS.
3|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.
2. Instalacja certyfikatu na serwerze
Niniejsza instrukcja NIE opisuje instalacji certyfikatu serwera oraz certyfikatu pośredniego. Aby
certyfikat SSL EV był prawidłowo rozpoznawany, konieczna jest:

Instalacja cross – certyfikatu

Wyłączenie lub usunięcie certyfikatu Certum Trusted Network CA na serwerze
2.1. Instalacja cross - certyfikatu
Cross certyfikat, o którym jest mowa w niniejszym rozdziale jest do pobrania pod adresem:
http://repository.certum.pl/certumca-ctnca.cer
Pierwszym krokiem jest uruchomienie konsoli mmc i wybranie File -> Add/Remove Snap-in:
4|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.
Nastęnie z lewej kolumny należy wybrać Certificates i kliknąć Add
Pojawi się okno, w którym należy wybrać magazyn komputera Computer Account i kliknąć Next, a
następnie Finish. Na koniec należy zamknąć okno dodawania przystawek przyciskiem OK:
5|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.
Należy wejść w Intermediate Certification Authorities -> Certificates i po kliknięciu prawym
przyciskiem myszy wybrać All Tasks -> Import…
Pojawi się kreator dodawania certyfikatu, gdzie należy wskazać plik certumca-ctnca.cer. Po jego
dodaniu w głównym ok nie konsoli mmc pojawi się nowy wpis:
Na tym kończy się proces dodania cross – certyfikatu.
Należy pozostać w konsoli mmc i wykonać kolejny krok wyłączenia certyfikatu Certum Trusted
Network CA.
6|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.
2.2. Wyłączenie certyfikatu Certum Trusted Network CA
Będąc dalej w konsoli mmc należy wejść w Trusted Root Certification Authorities -> Certificates.
Następnie na liście certyfikatów należy znaleźć taki, który w polu Issued to ma wpisane Certum
Trusted Network CA, kliknąć na na nim prawym przyciskiem myszy i wybrać Properties:
W oknie, które się pojawi należy wybrać Disable all purposes for this certificate i potwierdzić
przez OK:
7|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.
Po tym zabiegu jeżeli wejdziemy w Personal -> Certificates i wybierzemy nasz certyfikat SSL EV
(dwa razy na nim klikniemy), pojawią się szczegóły certyfikatu, które zakładce Certification Path
powinien mieć taki widok:
Domyślny widok, baz wykonania operacji z tego punktu wygląda tak:
8|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.
2.3. Konfiguracja serwera IIS
Po wykonaniu powyższych wskazówek może być konieczność restartu serwera.
Podczas pisania tej instrukcji restart serwera nie pomógł, pomogła natomiast zmiana Windingów dla
protokołu https, a mianowicie został wybrany inny certyfikat uruchomiony serwer po czym ponownie
certyfikat SSL EV. Dopiero po takich zabiegach serwer przedstawiał się prawidłową ścieżką
certyfikacji.
2.4. Sprawdzenie poprawności instalacji
Do sprawdzenia poprawności instalacji certyfikatu można wykorzystać narzędzie OpenSSL i
polecenie:
openssl s_client –connect <adres_strony>:443
W sekcji certificate chain powinny być 3 wpisy (numerowane od 0 do 2):
--Certificate chain
0 s:/C=PL/O=Unizeto Technologies
S.A./OU=OPR/L=Szczecin/ST=zachodniopomorskie/street=ul. Kr\xC3\xB3lowej
Korony Polskiej 21/postalCode=70-486/1.3.6.1.4.1.311.6
0.2.1.3=PL/1.3.6.1.4.1.311.60.2.1.1=Szczecin/1.3.6.1.4.1.311.60.2.1.2=zacho
dniopomorskie/serialNumber=0000233499/businessCategory=Private
Organization/CN=testevmpro.unizeto.pl
i:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification
Authority/CN=Certum Extended Validation CA
1 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification
Authority/CN=Certum Extended Validation CA
i:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification
Authority/CN=Certum Trusted Network CA
2 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification
Authority/CN=Certum Trusted Network CA
i:/C=PL/O=Unizeto Sp. z o.o./CN=Certum CA
---
9|Strona
Unizeto Technologies S.A. 2013. Wszelkie prawa autorskie zastrzeżone.